网闸工作原理
网篮法
网神SecSIS 3600安全隔离与信息交换系统的工作基于人工信息交换的操作模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求,两模块间没有直接的物理连接,形成一个物理隔断,从而保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立。在此前提下,通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源,而不必担心可信网的安全受到影响。 信息通过网闸传递需经过多个安全模块的检查,以验证被交换信息的合法性。当访问请求到达内外网主机模块时,首先由网闸实现TCP连接的终结,确保TCP/IP协议不会直接或通过代理方式穿透网闸;然后,内外网主机模块会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查,内外网主机模块会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行,不依赖于任何通用协议,只能被网闸的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。如下图所示: 压水堆核电厂的运行
按摩坐垫网神SecSIS 3600安全隔离与信息交换系统通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能,将指定区域的数据复制到对端相应的区域,完成数据的交换。隔离交换卡内嵌安全芯片,采用高速全双工流水线设计,内部吞吐速率达5Gbps,完全可以满足高速数据交换的需要。
隔离交换模块固化控制逻辑,与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络的安全隔离。
当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据,可根据本端的安全策略进行进一步的应用层安全检查。经检验合格,则进行逆向转换,将格式化数据转换成符合RFC标准的TCP/IP数据包,将数据包发送到目的计算机,完成数据的安全交换。
网神SecSIS 3600安全隔离与信息交换系统提供基于纯文件的交换方式,内网和外网的数据传输模块各自对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤,对符合要求的文件进行转发。不借助任何第三方软件,完全通过文件的拷贝、粘贴方式实现,为了避免网络漏洞,网闸不开放任何连通两侧的网络通道,在保证绝对安全的前提下,通过数据摆渡实现文件交换。 文件过滤相关策略
4.1 基本配置图例
4-1图基本配置
4.1.1网神SecSIS 3600安全隔离与信息交换系统完全结合客户现实网络环境以及客户不同需求进行高安全、高效率帮助客户解决高密区到底密区进行文件交换。可根据客户需求有多种方式;传输方向也支持多种帮忙不同客户解决不同传输方向;以及多种工作模式有效解决可以文件交换需求。
喉管4.2 文件名过滤配置图例
4-2图文件名过滤配置
4.2.1 网神SecSIS 3600安全隔离与信息交换系统支持文件名过滤功能,可支持扩展名过滤、文件名过滤、文件名正则表达式进行对传输文件安全过滤。
rbd-446
4.3 关键字过滤配置图例
4-3图文关键字过滤配置
阻燃双面胶4.3.1 网神SecSIS 3600安全隔离与信息交换系统支持关键字过滤功能,可有效检测到文件内容关键字;高安全性保护客户秘密文件的传输。
4.4 类型过滤配置图例
4-3图文类型过滤配置
4.4.1 网神SecSIS 3600安全隔离与信息交换系统支持类型过滤功能,密切结合客户实际要求以及文件交换传输安全。保障客户哪些文件需要交换,哪些文件不需要交换。有效地防护客户文件交换高粒度
、高安全传输。
4.5 安全文件交换解决方案
网神SecSIS 3600安全隔离与信息交换系统,由安全管理员制定相应的信息交换策略,在网络安全隔离的前提下定时进行文件交换。系统还支持交换方向、文件类型的指定,可对被交换文件进行内容检查、文件名过滤、文件类型过滤等处理,只允许或不允许包含相应内容的文件通过网闸传递。
